<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On Sep 9, 2010, at 16:38 , Andy Berkheimer wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">Much of this discussion has focused on the careless server operator.  What about the careful ones?<div><br></div><div>Given the past history of content sniffing and security warts, it is useful - or at least comforting - to have a path for the careful server to indicate "I know this file really is intended to be handled as this type, please don't sniff it".  This is particularly true for a server handling sanitized files from unknown sources, as no sanitizer will be perfect.</div>

<div><div><br></div><div>Today we approximate this through accurate use of Content-Type and a recent addition of X-Content-Type-Options: nosniff.</div><div><br></div><div>Never sniffing sounds idyllic and always sniffing makes life a bit riskier for careful server operators.  The proposals of limiting video/audio sniffing to a few troublesome Content-Types are quite reasonable.</div></div></blockquote><div><br></div>I think I agree.  </div><div><br></div><div>The minimum I can think of is</div><div><br></div><div>sniff when (a) suspect types are supplied and (b) they are 'auto-generated' (e.g. by a web server).  If either are not true, you shouldn't need to sniff.  Someone who writes</div><div><br></div><div> <source ... type="video/frubotziger" ... /> </div><div><br></div><div>causes both tests to fail and deserves to be believed (and get the consequences). (Have you SEEN frubotziger format video :-))</div><div><br><blockquote type="cite"><div>

<div><br></div><div>-Andy</div><div><br><div class="gmail_quote">On Thu, Sep 9, 2010 at 3:07 AM, Philip Jägenstedt <span dir="ltr"><<a href="mailto:philipj@opera.com">philipj@opera.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0.8ex; border-left-width: 1px; border-left-color: rgb(204, 204, 204); border-left-style: solid; padding-left: 1ex; position: static; z-index: auto; ">

I think we should always sniff or never sniff, for simplicity.<br><font color="#888888">
<br>
Philip</font><div><div></div></div></blockquote></div></div></div></blockquote></div><br><div>
<span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div>David Singer</div><div>Multimedia and Software Standards, Apple Inc.</div></div></div></span></div></span></span>
</div>
<br></body></html>